Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
Kriptovīrusi
Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV
● Petya● notPetya● maybePetya
Saturs
● Infekcijas vektors – izpildāmais fails epastā
● Lokālā administratora tiesības
● Yes, I agree – click click click● MBR pārrakstīšana – pirmā programmatūra (software)
● MFT šifrēšana
● Bitcoin izpirkums par atslēgu
● Mīnusi
● Datņu saturs nemainīts, daļu iespējams atgūt
● Plusi
● Pilnīga paralīze
● Nav problēmu ar šifrēšanas slēpšanu – on-the-fly atšifrēšanu
Petya
Apēd šo!
● Petya + Mischa = ❤● Mischa = datņu līmeņa šifrēšana
● Ja netiek pie lokālā administratora tiesībām● 80. gadu tehnoloģijas + bitcoin monetizācijai
Mischa
Avots:Microsoft
● Modificēts Petya+Mischa
● Sākotnēji izplatās caur backdoor Ukrainā izmantotā grāmatvedības programmatūrā
● Tālāka izplatīšanās pa lokālo tīklu ar SMB ievainojamībām un pass-the-hash
● Tārps
● MFT šifrēšana
● Failu līmeņa šifrēšana
● Specifiska uzvedība atrodot AV produktus – failus šifrē vienalga
● Kaspersky
● Symantec
● Bitcoin izpirkums par šifrēšanas atslēgu
● Atšifrēšana nav paredzēta
notPetya
● Supply Chain izmantošana uzbrukuma mērķēšanai● lokāli izmantota programmatūra
● Arī vieglākais ceļš - ticams, ka vairāk caurumu● Win10 iebūvētie mehānismi veiksmīgi pasargā
● Ir jēga izmantot pēdējo versiju● Ukrainas gadījumā nepasargātu
● Infekcijas sākumā pēc VirusTotal datiem tikai 2 produkti klasificē kā ļaundabīgu
● AV – aizsardzība pret vakardienas apdraudējumiem● VirusTotal nevar izmantot AV salīdzināšanai – konfigurācija
notPetya - secinājumi
notPetya
Avots: Financial Times
● Maersk = 1/5 pasaules kravu apjoma● Ietekme 4 valstīs● 200..300M$ zaudējumi
● Upuri arī Merck, FedEx
Collateral damage - Maersk
● Supply chain attack● Kritiskā infrastruktūra● Šifrējošā vīrusa piesegs● Win un Linux● MEDoc izmantots gan maijā, gan jūnijā
● 1x – nejaušība, 2x – likumsakarība?● “...we are reasonably confident towards it being Russia” FireEye
● 27.jūnijs – notPetya
● 28.jūnijs – Ukrainas konstitūcijas diena
NotPetya – skats no putna lidojuma
Avots: ESET
● Šifrējošais vīruss● Tālāka izplatīšanās pa lokālo tīklu ar SMB● Piedēvēts Ziemeļkorejas aktivitātēm (Symantec)● NHS UK, Telefonica, FedEx, Deutshe Bahn● 300.000 iekārtu● Izpirkums 130 k$
● bitcoin maciņa ienākumus iespējams izsekot
Wannacry
Apkopojums
Valsts Noziedzība
Izpirkums Wannacry Petya
Zaudējumi+morāle notPetya ?
● Ārējs audits uz rakstīšanas tiesībām● Problēmas personalizācija
● Līdz šim pārāk bieži infekcija = problēma citiem
● Tiesību ierobežošana
● Lietotāju izolācija
● Baltie saraksti
Problēmas un risinājumi
Paldies!